¿Cuál es la diferencia entre la fijación de sesión y el secuestro de sesión?

La fijación de sesión es un método de secuestro de sesión que aprovecha un servidor que expone el sessionid y luego lo repara en una solicitud futura (incluso desde otra PC).

  1. El atacante debe establecer una conexión legítima con el servidor web que
  2. emite una ID de sesión o, el atacante puede crear una nueva sesión con la ID de sesión propuesta, luego,
  3. el atacante debe enviar un enlace con la ID de sesión establecida a la víctima, debe hacer clic en el enlace enviado por el atacante que accede al sitio,
  4. el servidor web vio que la sesión ya estaba establecida y no era necesario crear una nueva,
  5. la víctima proporciona sus credenciales al servidor web,
  6. conociendo la ID de sesión, el atacante puede acceder a la cuenta del usuario.

fuente: fijación de sesión

Related Content

¿Desarrollar un sitio web de WordPress te convierte en desarrollador web?

¿Qué es mejor para la velocidad del sitio web, HTML estático vs JSON?

¿Cuánto tiempo lleva aprender HTML, CSS y JavaScript?

¿Qué es la optimización de motores de búsqueda (SEO) y por qué mi sitio web necesita SEO?

Hay 2 campos de entrenamiento de codificación cerca de mí. Ambos enseñan HTML / CSS / JavaScript en el front-end, pero uno cubre PHP en el lado del servidor, y el otro es Java. ¿A cuál debo asistir?

TL; Versión DR: el primero trata más sobre el robo de una identificación no tan bien protegida para obtener acceso a los privilegios de otro usuario; el segundo requiere más probablemente un enfoque MitM para lograr lo mismo.

Más información y algunos ejemplos aquí.

¡Aclamaciones!

Duane Hutchins

La fijación de sesión es un tipo de secuestro de sesión. La fijación de la sesión ocurre cuando la víctima autentica el identificador de sesión HTTP de un atacante. Hay varias formas de lograr esto.

Otros tipos de secuestro de sesión son:

  • IP Spoofing: el atacante inserta paquetes en una sesión enrutada de origen.
  • Secuestro TCP: la sesión TCP subyacente se ataca adivinando los números ISSx en el encabezado TCP, lo que permite al atacante hacerse cargo de la sesión.
  • Secuestro de SSL: es un tipo de ataque de hombre en el medio donde el atacante actúa como un proxy de la víctima para el sitio seguro.
Gershon Adams

More Interesting

¿Puedo agregar de manera segura un texto SEO de 600 palabras en un código web sin ser penalizado?

¿Cuánto cobraría por hacer el diseño de un sitio web estático (maqueta) y también codificarlo (HTML5 / CSS3)?

¿Cuál es el alcance del free lance en el diseño web de la India?

¿Cuáles son las mejores prácticas de PSD a HTML con HTML5?

¿Qué CMS es fácil de administrar para usuarios no técnicos, permite flexibilidad de contenido y al mismo tiempo produce un código muy limpio?

¿Las principales empresas de Internet utilizan herramientas de desarrollo web como Dreamweaver para construir sitios mediante arrastrar y soltar o codifican desde cero utilizando JS y HTML?

Como desarrollador front-end, ¿hay alguna ventaja de usar Ubuntu sobre Windows?

¿En qué se diferencia Twitter Bower de NPM?

Cómo optimizar el tamaño de la imagen para WordPress sin sacrificar la calidad

Cuando intento conectar una PC cliente con Server 2012 R2 DC, aparece el error 'El servidor RPC no está disponible'. ¿No puede hacer ping al servidor pero puede acceder al recurso compartido?

¿Cuándo es mejor usar un tipo de publicación personalizado de WordPress que extender los tipos de publicación incluidos?

¿Qué debo saber sobre el alojamiento web?

¿Cuánto tiempo lleva construir un sitio web?

¿Cómo debo comenzar a estudiar Node.js con 0% de conocimiento de Java o JavaScript? ¿O cuál debería comenzar primero?

Python Web Frameworks: ¿es bueno Pinax para Django?